JulSwap閃電貸攻擊分析及事件后續_JULB

事件起因

2021年5月28日，有消息稱BSC鏈上DEX協議、自動化的流動性協議的JulSwap遭到閃電貸攻擊，知道創宇區塊鏈安全實驗室第一時間展開分析并將攻擊結果簡訊分享給大家，供參考研究。

事件分析

攻擊者交易：https://bscscan.com/tx/0x1751268e620767ff117c5c280e9214389b7c1961c42e77fc704fd88e22f4f77a攻擊合約地址：0x7c591aab9429af81287951872595a17d5837ce03

大西洋智庫Julia Friedlander：美國應該加入日本和加拿大對于CBDC在跨國轉賬應用的開發:美東時間6月24日，在哈佛大學肯尼迪政府學院的貝爾弗中心智庫展開了一場由中心主任Aditi Kumar主持的關于數字貨幣的研討會。大西洋智庫全球經濟副主任和前歐盟南歐經濟事務主任Julia Friedlander表示，中國央行數字貨幣和天秤幣的進展，以及美國在疫情中暴露出支付系統包容性的落后會同時刺激美聯儲加快對央行數字貨幣（CBDC）的研究。監管者目前不希望因為私營企業的每次調整而干預監管政策，但最終會在美聯儲的領導下制定相應政策。中國政府在領導在數字貨幣反洗錢等方面的國際標準，但這個標準并不完善，應在全球框架下進行修改。美國應該加入日本和加拿大對于CBDC在跨國轉賬應用的開發。（巴比特）[2020/6/26]

現場| 超級賬本副總裁Julian Gordon：以聯盟鏈推動區塊鏈商業化:金色財經10月9日訊，在今日舉辦的2018可信區塊鏈峰會上，超級賬本亞太地區副總裁Julian Gordon表示，區塊鏈技術要解決真實世界的問題。通過產鏈相結合，超級賬本正在朝這個方向努力。超級賬本希望做一個社區，跟全球200多個成員一起實現區塊鏈商業化，未來不僅是在公有鏈、私有鏈方面，還將在聯盟鏈上有所作為。

目前，超級賬本已經落地的應用有鉆石供應追溯、LegalXchain司法聯盟鏈、中國首個區塊鏈大米安全追溯平臺。Julian Gordon表示希望有更多參與者加入進來。[2018/10/9]

1.通過交易記錄可以看出攻擊者通過閃電貸借到70000個JULB代幣，然后調用JULB-WBNB的交易對進行兌換得到1400個BNB，這時攻擊合約中就有了1400個WBNB。2.隨后攻擊合約調用JulProtocolV2合約的addBNB函數進行抵押挖礦。該函數的功能就是通過轉入WBNB，合約會計算出相應需要多少JULB代幣進行添加流動性挖礦，隨后會記錄轉入的WBNB的數量用于抵押挖礦，函數代碼如下所示。

區塊鏈創業公司TenX聯合創始人Julian Hosp博士：比特幣在2018年的上行潛力高達150%:區塊鏈創業公司TenX聯合創始人Julian Hosp博士稱，比特幣在2018年的上行潛力高達150%。[2018/2/23]

3.由于閃電貸兌換了WBNB，所以JulProtocolV2合約錯誤的計算出了14.4w個JULB代幣能與515個WBNB去交易對中添加流動性，并把lp代幣轉入了JulProtocolV2合約。此時攻擊合約還剩下885個WBNB。4.攻擊者再用剩下的WBNB兌換為JULB，由于pair中添加了大量的JULB代幣的流動性，所以在兌換時只需要363個WBNB就可以兌換出7w個JULB代幣用于還貸，合約還剩下885-363=522個WBNB，最后把這些WBNB轉入錢包地址，攻擊者就完成了一次閃電貸套利。

事件后續

JULBSWAP的CEO在twitter中發推文稱此次事件由于閃電貸造成的兌換套利，官方將在后續更換新的版本并嘗試開始回購JULB代幣用于補償用戶。后續事件如果有新進展，實驗室將會持續跟進，同時我們提醒各大項目方在defi項目中一定要做好代碼審計測試，特別是在一些原有功能需求的更改上一定要做好數據測試和安全控制。

Tags：JULBNBWBNBJULBCZBNBwbnb和bnb區別和聯系JULB幣

MATIC